Jämförda versioner

Version Gammal version 12 Ny version 13
Ändringar gjorda av

Stefan Ehlert

Stefan Ehlert

Sparat den

Nyckel

  • Dessa rader lades till.
  • Denna rad togs bort.
  • Formateringen ändrades.

Innehållsförteckning

Expandera
titleVisa innehållsförteckning

Innehållsförteckning

Revisionshistorik

Expandera
titleVisa revisionshistorik


VersionDatumAktörKommentar
0.1

  

Stefan Ehlert

  • Kopierad från gammalt dokument


...

Expandera
titleVisa undersidor

Underordnade sidor (visning av underordnade)

Ineras support

Hur tar jag kontakt med Ineras support?

...

No certificate selected / Inget certifikat användes

Image Modified

Kortets certifikat lyckades inte föras över till IdP. Kontrollera att kortet sitter i kortläsaren, NetId är installerat och har information om kortet/certifikaten under E-legitimationer, kortläsaren fungerar och att det är rätt kort för aktuell miljö (testkort fungerar inte i produktionsmiljöer och tvärtom).

...

  • SITHS e-id Root CA v2
    • SITHS e-id Person HSA-id 3 CA v1
    • SITHS e-id Person HSA-id 2 CA v1
    • SITHS e-id Person ID 2 CA v1
    • SITHS e-id Person ID 3 CA v1
    • SITHS e-id Person ID Mobile CA v1

Error Error during authentication: Non-matching Levels of Assurance

E-tjänst begärde autentisering med annan nivå än den som användarens certifikat utvärderades till. Vanligaste felet är att legitimeringsbegäran förväntar sig tillitsnivå 3 men legitimeringen slutförs med tillitsnivå 2.


Frågor kring användarflöden

Hur och när påverkas min autentiseringsanslutning av störningar i nationell HSA katalog?

Om er anslutning INTE begär valbara attribut (via registrerat metadata) vars källa anges som HSA på Attributlista utan endast har behov av attribut från autentiseringen i sig (t ex tidpunkt och certifikatsutfärdare) och själva certifikatet (t ex personnummer/HSAid och tillitsnivå) är er anslutning ej beroende av HSA. För detaljer rekommenderas studier av hela Attributlista-sidan och dess mappningsmatriser. OBS: beroende beroende till de på certifikaten angivna OSCP/CRL-tjänsterna kan av uppenbara skäl inte undvikas.

...

  1. Setup
    1. Starta Chrome, Firefox, IE11 eller annan webbläsare med utvecklarverktyg
    2. Tryck F12, utvecklarverktygen kommer fram
    3. Om det inte är aktiverat, starta registrering av nätverkstrafik genom att välja flik som heter "Nätverk/Network" eller liknande
    4. "Play/record" om det inte redan spelas in
    5. Klicka i "Preserve log" (Chrome) eller klicka ur "Rensa poster vid navigering" (Edge)
    6. Läget ska likna ett av dessa i Chrome respektive Edge (klicka för större bild):
      Image Modified
  2. Browsa till etjänsts inloggningssida och påbörja autentisering
  3. Notera när en rad med SAMLRequest= i anropet syns, då har AuthNRequest-et fångats
  4. Kopiera den urlen/raden i anropslistan med HTTP-Redirect?SAMLRequest i sig enligt 4) ovan (högerklicka på raden och Kopiera URL eller liknande)
  5. Gå till https://www.samltool.com/url.php
  6. Klistra in url i rutan "Data to be URL Decoded"
  7. Tryck ”URL Decode Data”
  8. Kopiera den resulterade (väldigt likartad) texten
  9. Gå till menyalternativet två steg ner, "Base 64 Decode + Inflate", https://www.samltool.com/decode.php
  10. Klistra in i översta rutan "Deflated and Encoded XML"
  11. Ta bort all text innan är-likamed tecknet (t ex ”https://idp.ineratest.org/saml/sso/HTTP-Redirect?SAMLRequest=”)
  12. Klicka "Decode and Inflate XML"
  13. AuthNRequest- finns nu troligen i nedersta rutan

...

  1. Se avsnittet om Setup ovan (verkar endast fungera i Edge. Chrome visar inte innehållet)
  2. Browsa till etjänsts inloggningssida och påbörja autentisering
  3. Välj eventuellt medarbetaruppdrag
  4. Notera när en rad med "indentity-response" fångats (Innehållstyp: Dokument)
    Image Modified
  5. Kopiera hela värdet i fältet "SAMLResponse" under "Text"->"Svarstext" tabben.
  6. Gå till https://www.samltool.com/decode.php och klistra in hela respons-värdet och dekoda så kommer SAML biljetten visas:
  7. Image Modified


Felsökningsfrågor OIDC

...

  1. Se avsnittet om Setup ovan
  2. Browsa till etjänsts inloggningssida och påbörja autentisering
  3. Notera när anropet mot <IdP-domän>/oidc/authenticate skett (oftast första utanför etjänstens domän)
  4. Filtrera "Innehållstyp" på Annat/Other så bör anropet ligga överst (metoden ska vara POST)
  5. Titta på detaljerna för "Headers"->"Form Data" (Chrome) och "Text"→"Begärantext" (Edge) om de inte syns till höger när du markerat anropet
  6. Läget ska likna följande i Chrome respektive Edge (klicka för större bild):
    Image Modified
  7. Markera och kopiera värdet av "request" parametern (i Chrome kan man behöva rensa "request")
  8. Gå till https://jwt.io/ och klistra in i "Encoded" fältet (algithmen RS256 sätts från jwt:n).
  9. Under Payload finns nu den autentiseringsförfrågan som etjänsten skickade.:
    Image Modified